Pass-through身份验证

Pass-through身份验证

Pass-through身份验证(单点登录)提供了使用您当前登录的Windows系统用户名和密码在网络配置管理器中自动进行身份验证的能力。您无需手动输入Windows凭证即可登录到Network Configuration Manager web客户端。

前提条件：

配置Active Directory身份验证

必须在Network Configuration Manager中为要启用Pass-through身份验证的域配置Active directory身份验证。 点击此处了解如何在Network Configuration Manager的Active Directory身份验证下添加域。

在Network Configuration Manager中创建必要的用户帐户

• 要启用pass-through的用户帐户必须已经在Network Configuration Manager中可用。点击此处了解如何添加新用户。
• 注意：Pass-through身份验证仅适用于已添加到Network Configuration Manager的Active directory用户。如果您不想为域中的所有用户手动创建用户帐户，请为域启用自动登录(管理 → 用户管理 → Windows域)。启用自动登录后，您只需在首次登录时手动输入帐户的用户名和密码，Network Configuration Manager中的用户帐户将自动创建。自此之后，您无需手动输入即可轻松工作。

创建计算机帐户

必须在域控制器中创建计算机帐户，才能通过Network Configuration Manager访问域中的NETLOGON服务。点击此处了解如何创建新的计算机帐户。

注意：在版本124085之后，如果Network Configuration Manager服务在具有管理权限的用户下运行，则可以从 Passthrough 配置窗口本身创建新的计算机帐户。此外如果Network Configuration Manager服务器已从命令提示符启动，请确保它以管理员身份运行。

在浏览器中将Network Configuration Manager配置为受信任的站点：

必须将Network Configuration Manager Web服务器添加为您将用于访问Network Configuration Manager Web客户端的所有浏览器中的受信任站点，从而防止浏览器打开不必要的弹出窗口来提供您的凭证。

要配置受信任的站点，请执行以下步骤：

• 对于Internet Explorer(同样适用于Chrome)：
• 对于Internet Explorer((同样适用于Chrome)：
• 对于Firefox：
• 在URL框中输入about:config。如果显示告警页面，请点击"我会小心。我保证"按钮。在结果页面中，搜索ntlm。双击选项network.automatic-ntlm-auth.trusted-uris。在文本框中输入Network Configuration Manager服务器URL，然后点击确定。(可以输入多个站点条目，并以逗号分隔。)

在Network Configuration Manager中配置Passthrough身份验证

确保所有先决条件后，请按照以下步骤在Network Configuration Manager中自动配置Passthrough身份验证：

• 进入设置 > 用户管理 > 'Pass-through'选项卡。
• 点击'启用'按钮，然后从下拉列表中选择所需的域。
• 点击'获取'可以从域控制器获取所有必要的凭证，例如绑定字符串、DNS服务器IP和DNS站点。
• 注意：如果在获取必要的详细信息时出现任何问题，或者如果您使用的是低于124085的Network Configuration Manager版本，则必须手动配置这些设置。
• 此外，输入域控制器的计算机帐户和密码(计算机帐户名称必须小于或等于15个字符)。如果您提供了错误的凭证，将显示一条错误消息，指出帐户名或密码是否错误，或者该帐户不存在。
• 在版本124085之后，如果Network Configuration Manager服务在具有管理员权限的用户下运行，则将使用提供的帐户名称创建一个帐户，即使该帐户尚不存在。
• 另外如果您想更新密码，只需选中'覆盖现有计算机帐户密码'复选框，计算机帐户的现有密码将被您在“密码”字段中提供的值覆盖。
• 要验证提供的详细信息是否正确，请点击'保存并测试'。如果正确提供了所有详细信息，屏幕上将显示一条成功消息。如果有问题，将显示一条消息，显示传递的参数中可能存在的错误。纠正这些错误，然后点击'保存'。
• 或者如果您对提供的凭证有信心，则可以直接点击'保存'。

手动配置Passthrough身份验证

1. 域名：您域的NETBIOS名称。例如：OPMANHV (我怎样才能找到它？)
2. 绑定字符串：您域的DNS名称。例如：opmanhv.com (我怎样才能找到它？)
3. DNS服务器IP：DNS服务器的主IP地址。(如果有多个DNS服务器IP，用逗号分隔) (我怎样才能找到它？)
4. DNS站点：列出域控制器的站点。(我怎样才能找到它？)
5. 计算机帐户：创建的计算机帐户的名称。
   例如：mytestacc$@OPMANHV.COM
   (对于124085之前的Network Configuration Manager版本，必须在$@domain_dns_name后面附加帐户名。)
   请注意，计算机帐户名称必须少于或等于15个字符。
6. 密码：电脑账号密码。

1 & 2 - 获取域DNS名称和NETBIOS名称：

在域控制器设备中，打开开始 → 管理工具 → Active Directory用户和计算机。

3 - 获取DNS服务器IP：

在Network Configuration Manager服务器中打开命令提示符。运行命令"ipconfig /all"。在DNS服务器字段中提到的第一个IP地址是主DNS服务器的IP地址。

4 - 获取DNS站点：

在域控制器设备中，打开开始 → 管理工具 → Active Directory站点和服务。列出您的域控制器设备名称的站点是您的站点名称。如果您的域控制器中只有一个站点，您可以在Network Configuration Manager的Pass-through配置表单中将DNS站点字段留空。

创建一个新的计算机帐户：

要创建新的计算机帐户，请按照以下步骤操作：

• 运行OpManager_Home\conf\OpManager\application\scripts下的脚本NewComputerAccount.vbs从而创建新的计算机帐户。
• cscript NewComputerAccount.vbs account_name /p password /d domain_name
• 要重置现有计算机帐户的密码，请运行OpManager_Home\conf\OpManager\application\scripts下的脚本SetComputerPass.vbs从而创建新的计算机帐户。
• cscript SetComputerPass.vbs account_name /p password /d domain_name
• 确保您提供的密码符合该域的密码策略。不要使用AD 本机客户端中的新计算机帐户选项，该选项不允许您选择密码。如果您在从Network Configuration Manager服务器运行此脚本时遇到问题，请将脚本复制到域控制器计算机本身并尝试运行它。

注意：计算机帐户名的长度必须小于或等于15个字符。

设计限制：

• 只能为一个域启用Pass-through身份验证，最好是Network Configuration Manager服务器所在的域。如果为Network Configuration Manager服务器所在以外的域配置了Pass-through请确保其他域将登录用户信息提供给来自不同域的网站。

禁用Pass-through身份验证

在Network Configuration Manager网络客户端中，点击设置 → 基本设置 → 用户管理 → Pass-through。使用单选按钮可以启用/禁用Passthrough身份验证。

日志文件：

如果您遇到Pass-through身份验证的任何问题，请使用OpManager_Home\logs文件夹下日志的ZIP文件联系支持人员。